Entitäten und Benachrichtigungen untersuchen

In diesem Dokument wird beschrieben, wie Sie fallbezogene Einheiten und Benachrichtigungen auf der Seite Security Graph in Google Security Operations untersuchen. Auf der Seite Security Graph finden Sie eine visuelle Darstellung von Entitätsbeziehungen und Warnmeldungsaktivitäten, die Ihnen hilft, den Kontext, die Abfolge und die Auswirkungen verdächtiger Ereignisse zu verstehen. Außerdem wird beschrieben, wie Sie Entitätstypen interpretieren, Korrelationen untersuchen und auf Grundlage der visuellen Analyse Folgemaßnahmen ergreifen.

Auf der Seite Security Graph können Sie die mit einem Fall verknüpften Entitäten und Benachrichtigungen ansehen. In der Mitte der Seite wird eine visuelle Darstellung (als „visuelle Familie“ bezeichnet) angezeigt, die veranschaulicht, wie sich Benachrichtigungen und Entitäten zueinander verhalten.

Diese Ansicht bietet folgende Vorteile:

• Ursache-Wirkungs-Beziehungen zwischen Entitäten und Benachrichtigungen verstehen
• Chronologische Reihenfolge der Ereignisse ansehen
• Verbindungen zwischen verdächtigen Aktivitäten und Ereignissen erkennen

Visuelle Elemente der Familie identifizieren

Die visuelle Familie umfasst zwei Arten von Knoten:

• Entitäten: Werden als Sechsecke dargestellt
• Artefakte: werden als Kreise dargestellt

Farbe wird verwendet, um Bedeutung zu vermitteln:

• Blaue Sechsecke: Interne Einheiten
• Grüne Kreise: Interne Artefakte
• Rot: Gibt verdächtige Elemente an.

Interne und externe Einheiten identifizieren

Entitäten können in zwei Stilen dargestellt werden:

• Farbig gefüllte Formen stellen interne Einheiten dar.
• Nur umrissene Formen stellen externe Einheiten dar.

Eine IP-Adresse, die zu einem bekannten internen Netzwerk gehört, wird beispielsweise als farbiges Sechseck dargestellt, um anzuzeigen, dass sie intern ist. Eine IP-Adresse außerhalb des Netzwerks wird dagegen als umrandetes Sechseck angezeigt, was darauf hinweist, dass sie extern ist.

Entitätsbeziehungen in der visuellen Familie verstehen

Auf der Seite Security Graph wird mithilfe von visuellen Hinweisen und Verbindungen dargestellt, wie Entitäten und Artefakte zueinander in Beziehung stehen. Wenn Sie verschiedene Arten von Entitäten und Artefakten identifizieren möchten, klicken Sie auf Hilfe Hilfe. Dadurch wird die Entitätslegende geöffnet, in der jede Form und Farbe definiert ist, die im Visual verwendet wird.

Beziehungstypen

Entitäten und Artefakte können durch Linien verbunden sein, die ihre Beziehungen darstellen. Es gibt zwei Arten von Beziehungen:

• Aktionen: Werden als Pfeile dargestellt und weisen auf eine direkte Aktion hin, z. B. das Senden einer E‑Mail.
• Verbindungen: Werden als gepunktete Linien dargestellt und zeigen allgemeine Zuordnungen (z. B. einen Nutzer, der mit einem Hostnamen verknüpft ist).

Beispiel:

• Ein Pfeil kann zwei Nutzerentitäten verbinden, wenn der eine eine E‑Mail an den anderen sendet.
• Eine gepunktete Linie kann eine Nutzerentität mit einer Hostentität verbinden, auf die sie zugegriffen hat.

Visuelle Familien und Zuordnungsregeln

Entitäten und Artefakte werden aus Zuordnungsregeln abgeleitet und ihre Beziehungen (durch Linien verbunden) werden durch visuelle Familien definiert.

Wenn keine visuellen Familien konfiguriert sind, werden Einheiten und Artefakte weiterhin im zentralen Arbeitsbereich angezeigt. Zwischen ihnen werden jedoch keine Verbindungslinien angezeigt.

Zuordnung und visuelle Familien konfigurieren

Wenn Sie Zuordnungsregeln konfigurieren oder visuelle Familien auf der Seite Event Configuration (Ereigniskonfiguration) zuweisen möchten, klicken Sie an einer der folgenden Stellen in der Google SecOps-Plattform auf settings Settings (Einstellungen):

• Tab „Meldungen – Ereignisse“
• Seite „Ontologiestatus“

Weitere Informationen zum Konfigurieren des Mappings und Zuweisen visueller Familien finden Sie unter Mapping konfigurieren und visuelle Familien zuweisen.

Seite „Security Graph“ verwenden

Wenn Sie Entitäten und Benachrichtigungen visuell analysieren möchten, öffnen Sie einen Fall und klicken Sie auf der Seite Fälle auf Sicherheitsdiagramm ansehen. Die Seite Sicherheitsdiagramm enthält die folgenden Workspace-Elemente:

• Bereich links: Hier werden die Benachrichtigungen für den ausgewählten Fall und die entsprechenden Zeitstempel angezeigt.
• Mittlerer Bereich: Hier werden ein Diagramm mit miteinander verbundenen Entitäten, eine grafische Zeitachse für Benachrichtigungen und Steuerelemente für die Wiedergabe angezeigt.
• Seitenleiste: Hier werden Details zu den ausgewählten Benachrichtigungen oder Einheiten angezeigt, einschließlich der Rohdaten zur Anreicherung (falls verfügbar). Wenn Sie eine Benachrichtigung oder ein Ereignis auswählen, werden im Seitenbereich die entsprechenden Informationen angezeigt.
  Wenn Sie Google SecOps verwenden, sehen Sie unten in diesem Bereich die Schaltfläche Erkunden. Klicken Sie darauf, um die Benachrichtigung auf einer separaten Seite weiter zu untersuchen. Weitere Informationen finden Sie unter Untersuchungsansichten. 
• Unten auf der Seite: Hier werden die Videosteuerschaltflächen zum Abspielen der Ereignisse sowie ein visueller Zeitraum angezeigt, der mit add Hinzufügen und remove Entfernen weiter bearbeitet werden kann. Klicken Sie auf play_arrow Ereignis abspielen, um die Ereignisse im Diagramm in chronologischer Reihenfolge durchzugehen.

Klicken Sie im linken Bereich auf eine Benachrichtigung, um die zugehörigen Entitäten im mittleren Bereich hervorzuheben. Der Knoten, der diese Benachrichtigung enthält, ist größer als die anderen Knoten (Benachrichtigungen) im Diagramm. Bewegen Sie den Mauszeiger auf die Knoten, um die entsprechenden Benachrichtigungsnamen aufzurufen. Entitäten, die nicht am ausgewählten Alert beteiligt sind, werden ausgegraut (nicht verfügbar) dargestellt.

Auf der Seite Sicherheitsübersicht sind die folgenden Optionen verfügbar:

Optionen	Beschreibungen
	An Bildschirm anpassen: Das Diagramm wird automatisch so angepasst, dass es den gesamten sichtbaren Bereich ausfüllt.
	Kreisförmiges Layout: Standarddiagrammlayout. Klicken Sie auf Diagrammlayout ändern, um weitere Optionen aufzurufen.
	Play Event (Ereignis abspielen): Spielt alle Benachrichtigungen des Falls nacheinander ab. Hebt zugehörige Entitäten für jeden Schritt hervor. Das Diagramm zeigt den Benachrichtigungsfluss. Jede abgespielte Benachrichtigung wird durch einen größeren Knoten hervorgehoben.
	Nächstes Ereignis: Spielt die nächste Benachrichtigung in der Reihenfolge ab. Beginnt oben in der Liste.
	Vorheriges Ereignis: Geht zum vorherigen Alarm zurück. Deaktiviert, bis die erste Benachrichtigung wiedergegeben wird.
	Schneller Vorlauf und Schneller Rücklauf: Benachrichtigungen werden mit dreifacher Geschwindigkeit in chronologischer (aufsteigender) bzw. umgekehrt chronologischer (absteigender) Reihenfolge wiedergegeben.
	Zeitbereichsschieberegler: Damit lässt sich der sichtbare Zeitraum auf der X-Achse erweitern oder eingrenzen.
	Dadurch wird eine Legende für die Einheiten geöffnet.

Manuelle Maßnahmen nach der Untersuchung ergreifen

Nachdem Sie sich die visuelle Zeitachse angesehen haben, können Sie weitere manuelle Maßnahmen zur weiteren Untersuchung ergreifen. Sie können beispielsweise IP-Adressen scannen, um nach bekannten Bedrohungen zu suchen oder Downstream-Effekte wie Datenexfiltration zu untersuchen.

Häufige Folgemaßnahmen sind:

• Computer in Quarantäne verschieben
• Infizierte Systeme prüfen und scannen
• Verdächtige E‑Mails untersuchen
• Fehlende oder exfiltrierte Daten identifizieren